MeetMindful-Hack: Millionen Datensätze von Dating-Plattform geleakt
Ein bekannter Hacker mit dem Pseudonym „ShinyHunters“ hat diese Woche die Daten von mehr als 2,28 Millionen Nutzern der Dating-Website „MeetMindful“ veröffentlicht, darunter auch Realnamen und Daten zur Ortsbestimmung.
Die abgegriffenen Daten des 2014 gegründeten Dating-Portals wurden laut eines Berichtes auf ZDNet.com anschließend als 1,2 GByte große Datei in einem öffentlich zugänglichen Hacking-Forum zum kostenlosen Download angeboten, welches ebenso für seinen Handel mit gehackten Datenbanken bekannt ist. Bei den veröffentlichten Daten scheint es sich zudem um ein komplettes Abbild der jeweiligen Datenbank zu handeln. Der Zugriff erfolgte laut dem Betreiber über eine mittlerweile geschlossene Sicherheitslücke.
Der Inhalt dieser Datei enthält eine Fülle von Informationen, die die Benutzer beim Einrichten von Profilen auf der Website des Betreibers und in den mobilen Apps angegeben haben, darunter unter anderem:
- Echte Namen
- E-Mail-Adressen
- Angaben zu Stadt, Bundesland und Postleitzahl
- Körper-Angaben
- Dating-Vorlieben
- Familienstand
- Geburtsdaten
- Breitengrad und Längengrad
- IP-Adressen
- Bcrypt-verschlüsselte Konto-Passwörter
- Facebook-Benutzer-IDs
- Facebook-Authentifizierungs-Tokens
Der Vorfall betrifft laut den Betreibern jedoch lediglich Nutzer, die sich vor März 2020 bei MeetMindful angemeldet haben. Nutzer, die ein Konto nach März 2020 eröffnet oder ihre Kontodaten seit März 2020 aktualisiert haben, sollen nicht betroffen sein. Auch sollen laut den Betreibern keine Bilder sowie Kreditkarten- oder andere Zahlungsinformationen erbeutet worden sein, gleiches soll für von den Benutzern untereinander ausgetauschten Nachrichten gelten. Dennoch können die Daten dazu verwendet werden, die wahre Identität des Nutzers hinter dem Pseudonym herauszufinden und diese anschließend für Erpressungsversuche zu verwenden. Dennoch empfehlen die Betreiber ihren Nutzern, das Passwort zurückzusetzen und keinesfalls auf Nachrichten zu antworten, in der nach einer Kontonummer oder einem Passwort gefragt wird.
ZDNet hat den Betreiber der Plattform um eine Stellungnahme gebeten, die bisher jedoch unbeantwortet blieb.
Seit der Veröffentlichung wurde der Foren-Thread mit den geleakten Daten von MeetMindful mehr als 1.500 Mal angesehen und wahrscheinlich in vielen Fällen heruntergeladen. Zudem stehen die Daten weiterhin zur Verfügung. Der Betreiber der Dating-Website hat mittlerweile seine Nutzer benachrichtigt und gibt auch einen Hinweis auf der Startseite des Portals aus.
Der für den Beutezug verantwortliche Hacker ist kein Unbekannter, erst Anfang der Woche hatte dieser ebenfalls Daten von Millionen von Nutzern veröffentlicht, die bei Teespring registriert sind, einem Webportal, über das Nutzer individuell bedruckte Kleidung erstellen und verkaufen können.